풍뎅아 공부하자.

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

해커, 'DoH' 악용해 데이터 훔쳤다

인공지능 도구들 오픈소스로 풀리는 바람에 딥페이크 위협이 코앞

[CSRC@KAIST 차세대보안R&D리포트] 퍼징과 인공지능

다크웹에 VPN 계정정보 수천 건 유출…韓기업도 포함

"보안 전문가 키우고 싶으면 형사처벌 없애라"

캐논 서버 랜섬웨어 해킹, 10TB 데이터 탈취?

트위터 "보안 취약성으로 안드로이드용 앱 업데이트"

[의료 정보보호] 박종환 삼성서울병원 CISO “상시 보안점검 이외 테마점검 필요”

[의료 정보보호] 류기청 국립암센터 정보보호팀장 “코로나19 시대, 의료기관 보안위협 증가”

중국 데이터 안전법 초안의 공표와 시사점

Capital One fined $80 million for 2019 hack of 100 million credit card applications

▶ 지난 기사보기: https://blog.naver.com/ksbebob_769

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

FBI Notes Rise In Online Shopping Scams

The FBI has received complaints of an increasing number of online shopping scams by cybercriminals. The complaints focus on non-delivery of purchased items offering low prices. The ads for the undelivered equipment originated from social media or during searches for specific items.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 2020년 랜섬웨어 공격을 통해 알아본 6가지 특성 (2/2)

4. 시사적 현안의 무기화

공격자들은 COVID-19 팬데믹과 같은 이슈를 이용해 사용자들의 관심을 유발하여 암호화 멀웨어를 다운받도록 유도합니다. 지난 6월, 슬로바키아 보안회사인 ESET는 COVID-19 추적앱으로 위장한 CryCryptor를 발견했으며, 이 멀웨어는 안드로이드 폰의 파일을 암호화하는 기능이 포함되어 있다고 밝혔습니다.

COVID-19은 랜섬웨어 공격 흐름에 변화를 주었습니다. 팬데믹 이전에는 일반기업 대비 헬스케어 회사를 대상으로 한 랜섬웨어 공격이 크게 증가하는 추세였으나, COVID-19 팬데믹 이후 공격이 감소하였으며, 어떤 랜섬웨어는 병원을 공격하지 않도록 설계된 것들도 있었습니다. 공격자들은 규모가 큰 병원이나 헬스케어 센터를 공격대상으로 삼을 수 있으며, 희생자가 데이터 복구의 시급성을 필요로 할 경우에는 비용지불을 기대할 수 있을 것입니다.

5. 랜섬웨어 공격자들의 체포 수 증가

예전에는 개별적으로 암호화 멀웨어 공격을 시도하는 경우, 그럭저럭 정부당국의 감시를 회피할 수 있었습니다. 그러나 최근에는 사법당국이 랜섬웨어와 같은 보안위협 인텔리전스 공유 및 대응체계를 강화함에 따라 랜섬웨어 공격자들에 대한 체포 건수가 증가하였습니다.

6. 딥페이크 랜섬웨어

트랜드마이크로에 따르면, 랜섬웨어 뿐만 아니라 딥페이크와 관련된 컴퓨터 범죄가 지속적으로 증가할 것이라고 예측하고 있습니다. Malwarebytes 역시 랜섬웨어와 딥페이크가 조합된 “딥페이크 랜섬웨어“ 공격이 가능하다고 보고 있습니다. 

Malwarebytes는 저자이자 AI 전문가인 Paul Andrei Bricman와 함께 이러한 보안위협에 대한 가능성에 대해 논의하였으며, 그 중 한가지 가능성은 딥페이크 랜섬웨어 공격자가 웹사이트에 게시된 특정인물의 비디오로 가짜 비디오 생성하여, 돈을 지불하지 않으면 가짜 비디오를 공개하겠다고 협박할 수 있습니다.

다른 한가지 가능성은 공격자는 영상물과 랜섬웨어를 결합하여, 영상물에 접근하는 사용자의 컴퓨터를 감염시킬 수 있습니다. 이러한 공격은 2015년에 페이스북 사용자들을 유인하기 위해 제작된 “Hot Video“와 유사합니다.

Malwarebytes는 현재까지 실질적으로 이러한 공격이 발생한 사례를 없다고 밝혔지만, 이러한 공격이 발생할 경우 희생자의 명성에 치명적인 해를 가할 수 있을 것이라고 이야기 하고 있습니다. 

랜섬웨어 공격에 대한 대응전략

진행중인 공격을 탐지하는 것 만으로는 랜섬웨어 공격을 방어하기에 충분하지 않습니다. 다음은 추가적인 랜섬웨어 대응전략을 보여 줍니다.

1. 가시성 확보

IT환경에 대한 충분한 가시성을 확보하지 않으면 랜섬웨어 공격을 모니터링할 수 없습니다. 공격자들은 보안 취약점을 악용하여 끊임없이 시스템 접근권한 획득과 내부 네트워크로의 침투를 시도할 것입니다. 따라서, 자산관리시스템을 이용해 사용중인 모든 H/W 및 S/W를 파악하고, 인공지능이 결합된 네트워크 모니터링 솔루션을 통해 내부 네트워크에서 활동 중인 랜섬웨어와 같은 공격들을 감시합니다.

2. 보안인식 제고

많은 랜섬웨어 공격들은 사회공학기법을 이용한 피싱공격이나 IT 운영 실수를 악용하고 있습니다. 이러한 점을 감안하여, 임직원들에게 다른 사회공학 기술과 피싱공격에 대한 사례전파 및 모의훈련 등의 보안교육을 함으로써 이러한 보안위협을 상당히 감소시킬 수 있습니다.

3. 강력한 보안통제 구현

잘 훈련된 경우라도, 이메일이 정상적이라고 판단하여 피싱공격에 당할 수 있습니다. 따라서, 기업은 의심스러운 링크나 악성 도메인과 같은 보안위협을 자동으로 탐지하고 차단할 수 있는 스팸 방지 솔루션을 도입합니다. 또한, 절차적·관리적 접근통제를 수립하고 내재화하여 강력한 보안통제를 구현합니다.

4. 침해사고 대응계획 수립

랜섬웨어 공격자들은 기업의 방어막을 뚫기 위해 끊임없이 새로운 기술을 개발하고, 보안헛점의 기회를 엿보며 공격할 것입니다. 따라서,  보안사고에 대응할 수 있는 전문조직을 구성하고, 보안역량을 강화해야 합니다. 또한, 침해사고 대응계획을 수립하고 정기적인 운영 및 점검을 통해 보안사고 발생시 신속하게 대응할 수 있어야 합니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

보안 취약한 재택근무 해커들 주요 먹잇감됐다

미 보안업체 “북 해커, 합법 프로그램 이용해 기밀 빼내”

'공격측엔 신무기, 이용측엔 구멍'··· 드론이 기업 보안에 끼치는 영향
이란 해킹그룹, DoH를 정보유출 채널로 사용해 탐지 무력화시켜

구글, 2020년 8월 정기 안드로이드 패치 발표

마스크 사기·WHO 사칭…코로나發 피싱메일 하루 1600건

`확진자 동선` 문구에 혹해서 눌렀다간…

"블록체인 활용한 러시아 국민투표가 해킹됐다"

[차세대 보안 비전 설문조사] “클라우드 보안 투자 의지 높다”

[카드뉴스] ‘데이터3법’ 개인정보보호페어에서 마스터하기

[시큐리티] IT기술·보안능력 갖춘 신흥강자의 부각

‘현금 없는 사회(캐시리스 사회)'가 이상적이지 않은 이유 4가지

한국IBM, ‘IBM 클라우더스(IBM C:LOUDERs)’ 실시

Sensitive credentials of 900 enterprises leaked on hacking forum

▶ 지난 기사보기: https://blog.naver.com/ksbebob_769

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

FBI Notes Rise In Online Shopping Scams

The FBI has received complaints of an increasing number of online shopping scams by cybercriminals. The complaints focus on non-delivery of purchased items offering low prices. The ads for the undelivered equipment originated from social media or during searches for specific items.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 2020년 랜섬웨어 공격을 통해 알아본 6가지 특성 (1/2)

랜섬웨어 공격은 불법적으로 기업의 네트워크에 침입하여 데이터를 암호화하고, 이를 볼모로 금전적인 이득을 취할 목적으로 수행하고 있으며, 이로 인한 기업의 데이터 손실 및 유실 뿐만 아니라 금전적으로도 상당히 심각한 피해를 주고 있습니다.

미국의 디지털 보안 및 데이터복구 회사인 Datto는 랜섬웨어로 인해 발생한 서비스 정지 등에 따른 기업의 피해는 년간 7천5백억달러(약 8조9천억원)에 달한다고 합니다. 그 외의 자료에 따르면, 랜섬웨어로 인해 기업은 시간당 평균 8천 5백달러의 손실(Govtech 조사결과)과, 크립토 멀웨어 사고당 65.645백달러의 비용손실이 발생한다(Coveware조사결과)고 이야기 하고 있습니다. 최근 스마트 기기 제조사인 가민은 랜섬웨어 공격을 당했으며, 8월 5일, 데이터 복구조건으로 해커에게 1천만 달러를 지불했다고 밝혔습니다.

랜섬웨어 공격은 새로운 상품개발을 저해하고 금전적인 피해로 인해 기업운영에 막대한 차질을 가져오고 있습니다. 따라서, 기업은 이러한 랜섬웨어 공격을 잘 이해하고 대응할 필요가 있습니다. 우선적으로 최근에 발생한 랜섬웨어 공격을 통해 변화된 공격패턴을 이해하는 것이 중요합니다. 여기서는 2020년에 발생한 랜섬웨어 공격을 통해 6가지 주요 공격특성에 대해 살펴보고, 대응방안에 대해 알아 보고자 합니다.

1. 데이터 탈취 및 공개 협박

최근 몇 년까지만 해도 데이터 백업은 랜섬웨어 공격자의 데이터 랜섬을 묵살하고, 추가 비용없이 데이터를 복구함으로써 빠르게 서비스를 정상화하는 랜섬웨어 공격 대응기법 중 하나였습니다. 하지만, 최근에 와서는 데이터백업만으로는 랜섬웨어에 대한 공격에 대응할 수 없는 사건들이 발생하고 있습니다.

2019년 11월, 컴퓨터 장애를 해결해주는 Bleeping Computer의 웹사이트에 2십만명 이상의 직원을 보유한 보안인력회사의 네트워크에 Maze 랜섬웨어 공격이 발생했다는 글이 올라왔습니다. 공격자는 해당회사의 데이터를 암호화하기전에 외부 서버에 복사하고, 돈을 지불하지 않으면 데이터를 온라인에 공개하겠다고 협박하였습니다. 이러한 공격수법은 기존의 데이터 백업을 통한 복구를 무색하게 하였습니다.

이후 다른 랜섬웨어 역시 데이터 백업을 우회하고 랜섬을 거부하는 희생자를 협박하는 방식으로 진화를 해오고 있습니다. 이들 멀웨어 갱단들은 Maze의 데이터 유출과 데이터 공개 협박이라는 방식을 따랐으며, 올해 3월과 4월에 미국의 제조사와 헬스케어 회사를 공격할 때 이와 같은 수법을 사용했습니다.

2. 서로 다른 랜섬웨어와의 협업 증가

Maze는 암호화 멀웨어를 통해 이익을 극대화했다고 할 수 있을 정도는 아니었습니다. 랜섬웨어 군들은  몇몇의 변종들이 컴플라이언스를 준수하지 않는 기업의 데이터를 유출하고 위협하는 방식으로 진화했습니다. 2020년 6월 초 Bleeping Computer에 따르면, 보안회사인 KeLa는 한 건축회사의 데이터가 ”Maze News” 데이터 유출 웹사이트에 추가된 것을 발견하였으며, 훔친 데이터는 Maze의 공격에 의한 것이 아닌, LockBit RaaS (Ransomware-as-a-service) 플랫폼에 의해 감염된 데이터라고 전했습니다. 공격자들은 데이터 유출 플랫폼을 공유하고 덜 완성된 랜섬웨어 실행자들의 경험을 얻기 위해 LockBit와의 협업을 결정했다고 밝혔습니다.

3. 다른 유형의 멀웨어와 공조

랜섬웨어와 다른 형태의 멀웨어간의 공조는 탐지를 더욱 어렵게 하고 공격의 성공률을 높이게 됩니다. 이러한 공격형태는 2020년 상반기에 나타났습니다. 지난 3월, Bleeping Computer는 윈도우 시스템 성능향상 유틸리티를 다운받을 수 있는 포털을 통해 멀웨어가 유포되고 있음을 발견하였습니다. 일단 프로그램을 다운받으면 ”file2.exe” 파일과 함께 데이터를 암호화하는 ”coronavirus ransomware” 파일이 자동으로 다운로드 됩니다. 이 멀웨어는 ”file1.exe”파일과 함께 패스워드 유출 멀웨어를 배포하는 Kpot이라는 멀웨어에 랜섬웨어 멀웨어를 추가한 것으로, 감염된 컴퓨터로 부터 데이터를 훔친 후, 공격자가 미리 장악한 서버에 데이터를 전송합니다.      

2020년 5월, 보안솔루션 회사인 Group-IB는 PwndLocker랜섬웨어군의 후속 버전인 ProLock를 발견하였습니다. 이 공격은 두 종류의 초기 접근 벡터 중 한나를 선택하고, 공격 대상의 RDP(Remote Desktop Protocol) 서버에 접근하기 위해 약한 인증정보를 공격하였습니다. 어떤 경우에는 Qakbot를 문서에 심어 보내기도 했으며, 이후 프로세스 인젝션 기술을 실행하거나 .BMP 또는 .JPG파일에 숨겨진 ProLock 페이로드를 불러오기 위해 explorer.exe를 사용하는 등 다양한 전술을 시도했습니다.

※ 원문: 6 Ransomware Trends You Should Watch for in 2020

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

국방과 우주항공 산업 노리던 ‘이력서’ 공격, 북한일 가능성 높아

‘별지 제31호서식’ 한글파일 열면 악성파일에 감염된다

국제 랜섬웨어 일당, 코로나19 악용해 비트코인 300억원 챙겨…‘전세계 주요 정부기관과 공공기관 침투’

[차세대 보안 비전 2020] “코로나로 업무환경 변화…클라우드 집중”

"영국 장관, 러시아 해커들에 국가기밀 털렸다"

[원격근무 보안 리포트] 포스트 코로나 시대, 기업의 보안 필수템 ‘문서암호화·문서중앙화’

트위터, ‘개인정보 오용’ 미정부 조사받아…”3천억원 물 수도”

신용정보법 개정안 시행으로 달라지는 것

‘데이터 3법’ 마침내 시행…동의없는 개인정보 이용·가명정보 결합 방법은

국가 개인정보 보호 최고기관 '개인정보보호위원회' 출범… 과제는?

융·복합 CCTV로 범죄와 재난 촘촘히 막는다

기고 | 이제는 CIO가 S·M·A·R·T 해져야 할 시점
[기고] 포스트코로나, 데이터로 대비하라

[기고] 의료 빅데이터 활용 규제개선과 데이터 3법

Garmin Pays $10 Million Ransom Fee After Hacking Attack

▶ 지난 기사보기: https://blog.naver.com/ksbebob_769

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

MassLogger Malspam Campaigns

MassLogger is being distributed in malspam campaigns, primarily using various types of archive files and documents. An article on the SEQRITE blog provides an analysis of the various infectors and MassLogger payload.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 데이터 보호를 위한 최소이자 최선의 선택 “암호화“

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 이한 유출 사고의 발생빈도가 높습니다. 데이터 침해사고는 기업의 중요 데이터와 민감한 고객정보 등을 유출시킴으로써, 기업의 비용손실은 물론, 신뢰도 저하 및 고객 이탈, 그리고 법적인 문제에 휘말릴 수 있습니다.

중요한 데이터를 다루는 기업은 당연히 암호화를 통해 데이터를 보호할 것입니다. 하지만, 2019년도 Ponemon의 “Global Encryption Trends Study”에 따르면, 암호화 전략을 채택한 기업은 45% 정도에 지나지 않습니다. 올바른 암호화 전략은 암호화를 통한 데이터 보호 뿐만 아니라, 컴플라이언스 준수에도 도움이 됩니다.

암호화 전략

최근 Forrester의 연구에 따르면, 데이터와 분석 기반의 비즈니스는 전세계 GDP 보다 최소 7배 빠른 성장을 보인 것으로 나타났습니다. 즉, 데이터의 수집·분석·가공·분배를 통한 경제적 가치는 그만큼 높다는 것을 의미합니다. 이러한 데이터 생명주기에 의한 경제적 가치를 달성하기 위해서는 무엇보다도 데이터의 안전성이 전제되어야 합니다.

따라서, 민감한 데이터를 다루는 기업은 데이터를 안전하게 보호할 수 있는 기술을 적용하고, 규제당국이 요구하는 컴플라이언스를 준수함으로써 책임을 다할 필요가 있습니다.

하지만, 보안 전문가들은 아직까지도 많은 기업들이 데이터를 효과적으로 보호하기 위한 충분한 기술과 역량을 보유하고 있지 않으며, 일반적인 보안전략 수립은 잘 하고 있으나 데이터 암호화 전략 수립에 있어서는 이해도가 부족하다고 보고 있습니다.

데이터 암호화 전략은 민감정보를 포함한 중요 데이터 암호화, 강력한 접근제어 구현, 암호화 키의 안전한 관리 등의 기술적인 부분과 데이터 보호를 위한 컴플라이언스 준수를 포함하고 있습니다.

데이터 보호

데이터 암호화는 침해사고로 인한 데이터 유출시에 최후의 수단으로서 데이터를 무용지물로 만들어 버리는데 그 목적이 있습니다.

데이터 보호의 시작은 데이터가 어디에 있는지 파악하고, 보호 할 데이터를 식별하는 것입니다. 고객 및 재무정보와 같은 데이터는 식별이 용이하지만, 일부 데이터는 그렇지 않은 경우도 있습니다. 지난 10년간 개인정보 및 민감정보에 대한 많은 변화를 겪으면서 많은 기업들이 여전히 데이터 식별에 어려움을 겪고 있습니다.

민감한 데이터를 식별한 이후, 데이터의 안전한 암호화 및 관리방안에 따라 암호화 전략을 실행합니다.

- 암호화 키는 안전한 장소에 데이터와 분리하여 저장

- 각 산업 분야별 적합한 키 교체 모범 사례를 반영한 주기적인 암호화 키 교체

- 디바이스 데이터 보호를 위해 하드웨어 기반 Self-Encryption 기법 적용

- 세부적인 데이터 접근 및 삭제를 위해, 매체, 파일, 데이터베이스간의 계층적 암호화

- 외부와 공유되는 개인정보를 익명화하기 위해 데이터 마스킹 및 토큰화 기술 사용

데이터 암호화 외에 데이터 접근제어와 모니터링을 통해 권한이 부여된 특권 사용자에게만 접근을 허용하며, 데이터에 대한 빠르고 안정적인 접근을 보장합니다.

보안위협 대응을 위한 암호화

대부분의 보안전문가들은 데이터 침해사고와 랜섬웨어 등의 보안위협에 대해 인지하고 있으며, 기업의 최우선 과제 역시 이러한 보안위협을 차단하는 것입니다. 하지만, 여전히 이러한 공격들은 유효하며, 지속적으로 발생하고 있습니다.

지속적으로 증가하는 랜섬웨어 공격과 데이터 침해사고를 막기 위해, 기업은 많은 투자와 노력을 기울이고 있습니다. 하지만, 끊임없이 취약점을 연구하고, 호시탐탐 운영 실수 및 오류 등의 공격기회를 노리는 해커들의 공격을 100% 막는 다는 것은 불가능에 가까운 일입니다.

데이터 침해사고를 완벽하게 차단하지 못하는 것에 회의적일 필요는 없습니다. 보호하려는 데이터를 암호화함으로써 침해사고 발생시 데이터를 무의미하게 만든다면, 그러한 보안위협에 대한 대응방안으로 충분할 것입니다. 즉, 암호화는 클라우드 및 온프레미스 환경에 산재한 데이터를 내·외부의 공격으로부터 보호하며, 민감한 고객의 데이터를 안전하게 지킬 수 있는 필수 불가결한 선택입니다.

컴플라이언스 준수를 위한 암호화

국가와 정부 그리고 산업 컨소시엄이 개인정보 보호의 중요성을 인식함에 따라, GDPR(Global Data Protection Regulation), CCPA(California Consumer Protection Act), ISMS-P(Information and Privacy Security Management System), PIA(Privacy Impact Accessment) 등과 같은 컴플라이언스를 제정하고 있으며, 지키지 않을 경우 무거운 벌금을 부과하도록 하고 있습니다.

하지만, 기업의 입장에서는 어떤 데이터가 어떤 컴플라이언스에 저촉되는지, 침해사고시 신고조항이나 규제 미준수에 따른 법적책임 등에 대한 요건들은 전부 이해하고 준수 하기란 만만치 않은 일입니다.

암호화는 여러 보안 컴플라이언스에 대한 미준수를 해결하는데 도움을 줍니다. 중요하고 민감한 데이터가 도난 당했을 경우, 데이터를 무용지물로 만듦으로써, 데이터 보호라는 컴플라이언스 요건을 충족시킬 수 있습니다. 추가적으로, 협력사 또는 지사와의 데이터 공유시 민감한 데이터의 마스킹 처리 또는 토큰화 등과 같은 방법을 통해 컴플라이언스 요건을 준수할 필요가 있습니다.

맺음 말

암호화 전략을 수립하고 적용하기 위해서는, 데이터를 파악하고 민감한 데이터를 식별하며, 데이터의 규모나 중요성에 따라 적정한 암호화 솔루션을 도입할 필요가 있습니다. 또한, 개인정보보호법, 정보통신망법, 신용정보보호법, 의료법 등 많은 법적인 요구사항 분석을 통해, 조직과 비즈니스에 적합한 최적의 보안정책 수립과 운영이 동반되어야 합니다.

※ 원문: Encryption: Protect your most critical data

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

미국 사이버보안 직업의 기술 및 급여 현황

암호화폐 지갑을 C&C로 활용하는 독특한 백도어, 도키

시큐어 부팅 사용하는 시스템의 부트홀 취약점, 패치가 더 문제

윈도우 10 버전별 보안 업데이트 방식의 이해

노드JS를 공략하는 새로운 기법, ‘숨겨진 특성 남용’

신용카드 사기에 대해 지금 알아야할 것

스파이 활동 온상으로 떠오른 링크트인…‘가짜 헤드헌터’ 주의보

해킹된 지메일 계정, 평균 18만원에 거래된다

IT기술 발전보다 더 빠른 해커 수법의 ‘진화’

상반기 해킹에 쓰인 '제로데이' 살펴보니

79 Netgear routers are at risk of hacking, but over half won’t be patched

▶ 지난 기사보기: https://homephompi.tistory.com/

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

More WordPress Vulnerabilities In The Wild

The most popular open source website hosting and building software has more vulnerabilities in the wild. Zscaler reports on these vulnerabilities in their latest blog post.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 사이버 레질리언스 구축시 고려할 4가지 핵심 영역

최근 발간된 IBM Security의 “2020 Cyber Resilient Organization Report (이하, 보고서)”에 따르면, 기업의 67%는 지난 12개월 동안 사이버 공격이 심각한 수준으로 증가하고 있다고 응답했습니다. 또한, 지난 2년동안 1천개 이상의 레코드 유출사고를 경험한 기업이 53%에 달할 정도로 파급력 역시 높아졌습니다.

양적 및 질적인 침해사고의 증가에 따라, 새로운 IT기술과 서비스 도입을 통해 디지털 트랜스포메이션을 준비하는 기업은 기존의 단순 침해사고 방어 체계에서 사이버 레질리언스로의 전환을 고려하고 있습니다. 즉, 보안위협에 대한 예방과 대응, 방지, 복구능력을 향상시키고, 조직문화에 완전히 보안을 융화하는 방향으로 진화를 시도하고 있습니다.

사이버 레질리언스를 구현하기는 쉽지 않으나, 조직에 적합하고 올바른 프레임워크를 선택하여 적용한다면, 그에 대한 충분한 가치는 누리실 수 있을 것입니다.

사이버 레질리언스 란?

사이버 레질리언스는 사이버공격 또는 IT 시스템에 악영향을 주는 어떠한 이벤트가 발생했을 경우, IT 시스템을 지속적으로 운영할 수 있는 대응능력을  말합니다. 이는 기존의 침해사고 예방, 탐지, 대응기능을 포괄하며, 모든 사이버 이벤트에 대한 대응능력을 갖추는 것을 의미합니다. 따라서, 사이버 레질리언스는 기존의 침해사고 대응능력을 점진적으로 향상시키면서, 조직문화, 기술역량, 보안정책 및 절차를 현대화으로써, 지속적으로 변화하는 사이버 침해사고에 대한 대응능력을 극대화 하는 것 입니다.

사이버 레질리언스 구축

디지털 트랜스포메이션을 선도하는 기업들은 진화하는 사이버 공격을 방어하기 위해 침해사고 대응 자동화, 클라우드 서비스 도입, 솔루션들간의 상호작용을 개선하고 있습니다. 또한, 사이버 공격 발생시 효과적인 협업과 업무 연속성을 강화하기 위해, 사이버 공격별 특성을 반영한 위협 모델링을 설계하고 전사가 참여하는 침해사고 대응 계획을 수립합니다.

다음은 사이버 레질리언스 구축시 기업이 고려할 중요한 4가지 영역인 예방 (Prevention), 탐지 (Detection), 방지 (Containment), 그리고 대응 (Response)에 대해 알아 보겠습니다.

1. 예방 (Prevention)

응답기업 중 56%가 사이버공격에 대한 예방 건수를 사이버 레질리언스에 대한 척도로 측정하고 있다고 할 정도로, 대다수의 기업들이 침해사고 예방영역에 가장 많은 비중으로 투자를 해오고 있습니다. 리더그룹에 속한 기업들의 경우 자동화, 인공지능 및 머신러닝을 도입함으로써, 조직의 침해사고 대응능력을 향상시키고 있으며, 보안위협 및 취약점 진단, 설정관리 등을 위한 자동화 솔루션을 도입하여 가시성을 향상시키고 직원을 단순업무로 부터 고급업무로 전환하고 있습니다.

2. 탐지 (Detection): 침해징조를 빠르게 식별

침해징조를 적시에 빠르게 탐지함으로써 침해사고로 이어질 수 있는 공격을 차단하고, 이로 인한 비용을 최소화 합니다. 하지만, 탐지 시스템 및 절차의 복잡성은 때론 악의적인 행위를 정확하기 식별하는데 장애가 되기도 합니다.

보고서에 따르면, 기업의 30% 정도는 50가지 이상의 보안 솔루션과 기술을 사용한다고 응답했습니다. 50개 이상의 보안 솔루션을 사용하는 기업은 그렇지 않은 기업보다 8% 낮은 공격탐지 능력을 보여주고 있습니다. 보안 솔루션들간의 상호 호환성 및 사용환경의 복잡성은 탐지 효율성과 속도를 저해하는 결과를 보여주고 있습니다.

자동화된 솔루션을 통해 다양한 보안 솔루션들과 플랫폼을 통합하고, 응용프로그램과 데이터에 대한 가시성 향상을 위해 노력합니다. 이는 전반적인 운영의 복잡성을 감소시키고, 보안팀이 보다 효과적이며 올바른 결정을 하도록 지원 합니다.

3. 방지 (Containment): 신속한 치료를 위한 절차와 워크플로우

최고의 성과를 내는 기업들은 상대적으로 침해사고에 더 잘 대응하고 35% 더 많은 사건을 처리하는 것으로 나타났습니다. 이들간의 가장 큰 차이점은 사이버보안 침해사고 대응계획의 수립 및 검토, 적용, 이행점검 여부였습니다. 대략적으로 성과가 좋은 기업은 43%, 그렇지 않은 기업은 20% 정도만이 이에 해당되었습니다.

따라서, 사이버보안 침해사고 대응계획 수립은 물론, 침해사고 방지 및 대응절차를 포함하는 플레이북을 개발하여, 사이버 공격 방지를 위한 시간을 줄이고 영향력을 최소화 합니다.

4. 대응 (Response)

분석능력의 향상은 침해사고 예방과 대응에 더 많은 시간을 할애할 수 있도록 합니다. 즉, 자동화된 솔루션의 도입은 보안팀의 침해사고 예방 및 탐지능력 뿐만 아니라, 대응능력 역시 향상시키는 효과가 있습니다.

전반적으로 사이버 복원력이 뛰어난 조직은 IT보안 운영의 모든 측면에서 경쟁업체보다 우수한 성과를 내고 있습니다. 사이버 레질리언스는 강력하고 상호협력적인 조직문화를 구축하고, IT기술과 보안운영 성능 향상을 위한 현명한 투자를 통해 달성할 수 있습니다.

※ 원문: Build a Roadmap for Cyber Resilience

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

국내 기업 해킹 피해 늘어...복구 등에 평균 38억원 지출
MS, 퀄컴, 어도비, 디즈니 등 주요 기업의 소스코드 공개돼

미국과 영국 강타한 '큐스내치' 악성 사이버 공격 경고

“북 해킹조직, 새 악성 프로그램 개발”

"중국, 교황청 해킹했다"…9월 협상 재개 앞두고 공격 정황

북한의 라자루스, 애플 생태계 활발히 노리기 시작

"최신 기기가 구형보다 더 취약하다?" 의료 IoT에 대한 2가지 시선
"가장 인기 있는 공격 표적은 브라우저 아닌 MS 오피스"
"공항인데 돈이 급하다"…동료교수 사칭에 서울대 교수들 보이스피싱 노출

행안부-방통위, ‘개인정보보호법 시행령’ 국무회의 의결

인터넷 사용의 보안 첫걸음, 최신 웹브라우저 업그레이드

금융 전용 클라우드 띄우는 IBM…"보안·컴플라이언스 차별화"

▶ 지난 기사보기: https://homephompi.tistory.com/

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

Cryptocurrency Clipper Malware Threat

Cryptocurrency malware is evolving and Carbon Black is reporting on the latest developments on this specific type of threat and how it's employed in the wild.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 클라우드 침해사고를 통해 얻는 교훈(6/6), Autoclerk

2019년 9월, 호텔 예약시스템인 Autoclerk는 AWS에서 운영하던 엘라스틱서치 데이터베이스에서179 GB 이상, 10만명이 넘는 예약정보가 유출되었다고 밝혔습니다. 유출된 정보에는 예약시스템을 사용하던 미군들의 이메일, 전화번호, 여행기록 등을 포함해 민감한 개인정보가 포함되어 있었습니다.

오픈소스 기반 엘라스틱서치는 일반적으로 빅데이터 검색에 있어 속도와 검색의 정확 및 편의성 등으로 널리 사용되고 있으나, 환경설정 오류 및 부적절한 접근통제 등의 보안 이슈로 데이터 유출 가능성이 높은 것으로 지적 받아 왔습니다. 엘라스틱서치를 사용하는 대다수의 많은 기업들은 세분화된 접근통제를 설정하지 않고 사용하고 있으며, 이로 인해 패스워드가 노출되면 모든 데이터에 접근이 가능할 수 있습니다.

 - 인증 기능이 부재한 엘라스틱서치 서버 관리용 포트를 통해 데이터베이스 접근 및 내부정보 열람 가능(2019.1.29, KISA 안공지)

해당 보안사고 역시 이전에 살펴본 클라우드 보안사고 범주에 속하며, 환경설정 오류 예방, 데이터 흐름 통제, 모니터링 강화 등의 보안대책으로 예방할 수 있습니다.

환경설정 오류 예방 및 불충분한 변경제어 관리

접근권한 관리, 디폴트 값 변경 등의 설정을 진행하는 과정에서 발생할 수 있는 오류 및 설정 값들 사이의 불일치성에 대해 확인하고 수정하며, 주기적인 관리감독이 필요합니다. 컴플라이언스 진단도구와 같은 비용효과적인 편리한 관리도구를 활용하여 네트워크 인프라, 하드웨어, ID 관리에 대한 설정 값들을 주기적으로 확인하고 보안 모범사례를 적용합니다.

데이터 흐름 통제 및 암호화

데이터 경로 분석 및 통제, 비즈니스 파트너 심사, 데이터 보존 기한 심사 등 강력한 데이터 보안통제를 통해 보안사고 발생시 내·외부의 영향력을 최소화 시킵니다. 또한, 데이터 암호화를 통해 침해사고로 인한 데이터 유출을 차단합니다.

네트워크 모니터링 강화 및 비정상 행위 감시

화이트리스트 기반의 접근통제로 신뢰하는 연결만 허용하며, 비정상적인 접근이나 새로운 내부로의 접근시도에 대한 모니터링을 강화합니다. 감사로그를 실시간으로 분석하고 과도한 데이터 전송 등 비정상 행위를 분석하고 탐지 합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

원격근무 확산에 커지는 보안 구멍...글로벌기업 '해킹 비상'

지지옥션 “해커가 금전 요구… 서버 공격 있었으나 개인정보 유출은 안 돼”

시스코의 네트워크 장비에서 발견된 취약점, 실제 공격 받는 중

미국 FBI, 중국 세금 소프트웨어 백도어에 대해 공식 경고 발표

고교·대학 동창회 등 홈페이지 수백개 해킹…회원정보 유출

FBI, 대규모 DDoS 공격 경고

RDP 하이재킹 공격의 개념 증명과 대응 방안
산업계 의견 대폭 반영된 ‘데이터 3법’…개인정보 안전할까

금융위 “금융권, CISO 권한 대폭 강화…사이버 리스크 통제 체계 확립 추진”

2020년 아시아태평양 지역 중소기업 디지털 성숙도 조사 결과…한국 6위 차지

[MPIS 2020] 국내 최대 의료기관 정보보안 컨퍼런스…30일 목요일 개최

▶ 지난 기사보기: https://homephompi.tistory.com/

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

Potential Legacy Risk from Malware Targeting QNAP NAS Devices

Alert AA20-209A has been published by CISA and NCSC to address the targeting of QNAP NAS devices by the QSnatch malware. Although there are two known campaigns involving this malware, the alert focuses on the more recent campaign, which was active from late 2018 to late 2019.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 클라우드 침해사고를 통해 얻는 교훈(5/6), Capital One Banking

2019년 7월, 미국의 대형은행인 캐피탈 원(Capital One)은 해킹으로 1억 6백만명의 고객정보가 유출되었다고 자사홈페이지를 통해 공개하였으며, 이로 인해 약 1,773억원의 피해가 발생한 것으로 추정하고 있습니다. 유출된 고객정보에는 이름, 주소, 전화번호 등 신상정보와 신용점수 및 한도 등 금융정보까지 방대한 정보를 포함하고 있으며, 특히, 8만개 계정, 14만개 사회보장번호, 그리고 1백만개 캐나다 사회보험 번호가 노출되었습니다.

해커는 아마존의 시스템 엔지니어로 근무(2015년~2016년)했던 Paige A. Thomson이었습니다. Paige는 AWS에 설치된 오픈소스 WAF (Web Application Firewall)가 SSRF (Service-Side Request Forgery) 공격을 탐지하지 않도록 설정(default)되어 있다는 점을 이용해, S3데이터베이스에 접근할 수 있는 인증정보를 획득하였습니다.

캐피털 원은 많은 다른 선진 기업들이 클라우드로 이전한 전략을 받아 들여 디지털 혁신을 주도하고자 했으나, 결과적으로는 클라우드에 대한 충분한 이해 부족으로 더 많은 혼란을 겪게 되었습니다.  

비정상 접근시도 모니터링 및 차단

외부에서 접근이 가능한 웹서버를 통해 방화벽(Firewall)을 우회하여, 내부 시스템으로 접근할 수는 SSRF공격은 퍼블릭 클라우드의 가장 위험한 공격 중 하나 입니다. SSRF와 같은 공격을 방어하기 위해서는 화이트리스트 기반의 접근통제로 신뢰하는 연결만 허용하며, 비정상적인 접근이나 새로운 내부로의 접근시도에 대한 탐지와 차단을 수행 합니다.

감사로그 분석을 통한 비정상적인 행위 탐지

클라우드 서비스 제공자(CSP)는 네트워크와 사용자 계층에서 데이터의 가시성을 제공하는 감사로그 툴을 제공하기도 하지만, 데이터가 광범위하고 다루기가 쉽지 않습니다. 감사로그를 분석하고 비정상 행위를 탐지할 수 있는 전용 솔루션을 도입하여, 데이터 침해사고에 대한 예방과 대응을 수행합니다.  

클라우드 서비스 제공자(CSP)의 네이티브 환경 이해와 공동 대응

사용자는 CSP가 제공하는 Anti-DDoS, F/W, WAF 등과 같은 네이티브 앱과 운영환경에 대한 충분한 이해를 기반으로 사용여부를 결정하고, 서비스 설계시 반영 합니다. 또한, CSP와 협조하여 공동의 선제적인 침해사고 방어 대책을 세우도록 합니다.   

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”

IBM Security Daily News Briefing

한국 IBM Security에서는 최신 보안 동향과 위협 등에 대한 정보를 뉴스레터로 보내 드립니다.
옆에 계신 동료분께 추천하고 싶다면? [뉴스레터 구독하기]를 클릭해 주세요.

[ 주요 기사 ]

RPA 기술의 혁명, 보안 없이 가다간 또 다른 구멍이 될 뿐

연쇄 살인마 잡았던 가계도 웹사이트, DNA 정보 100만 건 이상 노출

랜섬웨어 공격받은 스페인 국영 철도

열쇠 하나를 셋이 나눠가진다…암호화폐 보안 기술 'MPC'

IT 커뮤니티 유포 ‘오픈소스 텍스트 편집기’ 알고 보니 악성코드

기업 내 사용되는 애플리케이션의 96%가 취약점 내포하고 있다

쉐도우 공격 통해 서명된 PDF 파일 내용 교체 가능해

"훔치고 베끼는 中, 산업스파이 10년간 1300% 폭증"

산업제어시스템 보안위협 탐지 AI 경진대회 ‘HAICon 2020’ 열린다

비대면 시대, 정보보호 산업 육성한다

2020년 3분기 공공부문 ICT·보안 장비 구매, 271억 규모

[ET] ‘사람 노리는’ 해킹…방지법은?

Hacking Attacks on Elasticsearch and MongoDB

▶ 지난 기사보기: https://homephompi.tistory.com/

[ Threat Intelligence: IBM X-Force Exchange Advisory ]

Skimmers Abound in Images and Repos

Web skimmers are being stored inside .ICO and .PNG files and stored on repos such as GitHub. Sucuri expands on an earlier report from MalwareBytes on this type of malware detection evasion.

[ IBM Korea 주요행사 및 이벤트 ]

IBM 클라우드, 코로나 바이러스 대응을 위한 3개월 무료 서비스 제공

[ Talk & Talk ] 클라우드 침해사고를 통해 얻는 교훈(4/6), Instagram (Chtrbox)

2019년 5월 20일, 테크크런치는 인도 뭄바이에 위치한 소셜 마케팅업체 치트르박스(Chtrbox)가 운영하는 데이터베이스에 패스워드 없이 접근이 가능하며, 이로 인해 인스타그램 인플루언서를 포함한 4,900만개의 계정정보가 노출됐다고 보도했습니다. 계정정보에는 이용자 전화번호와 이메일 주소를 포함해 프로파일 이미지, 팔로워 수, 공유 게시물 수 등 활동 지표가 포함되어 있었으며, 데이터는 유명인들을 포함한 최신의 데이터라고 전했습니다.

이러한 소식이 전해지자 치트르박스는 즉각적으로 데이터베이스와 연결된 인터넷을 차단했습니다. 이후, 인스타그램은 자체 조사를 통해 치트르박스가 가진 정보에는 개인정보가 포함되어 있지 않으며, 이미 공개된 정보라는 주장한바 있습니다.

인스타그램은 2년전에도 개발자 API의 버그문제로 인해 유명인들의 계정을 포함해 6백만개의 계정이 유출된 이력이 있습니다. 해당 계정에는 핸드폰 번호, 이메일 주소 등이 포함되어 있었으며, 정보를 탈취한 공격자들은 해당 정보 검색용 유료사이트(1건당 10달러)를 개설하기도 했습니다.

클라우드 환경에서 패스워드의 부적절한 설정이나 보안에 대한 충분한 이해 부족으로 인해 발생하는 이러한 침해사고는 지속적으로 발생하고 있습니다. 치트르박스와 같은 단순 실수로 인한 사고는 외부로 부터의 인지 이후에나 깨닫게 되는 경우가 많습니다. 아직까지 클라우드를 운영하는 많은 기업들은 효과적인 보안설정, 컴플라이언스 모니터링, 데이터 유출 탐지, 보안 인식제고 등에 있어 충분한 준비가 되어 있지 않습니다 . 

충분한 통찰력 내재화 및 조직의 보안역량 강화

빠르게 변하는 기업의 서비스와 기술요건 충족을 위해, 컴퓨팅 인스턴스와 스토리지 또한 시의적절하게 변경이 필요합니다. 하지만, 성급한 인프라의 변화로 인해 강한 패스워드 적용, 다중인증 구현, 주기적인 키 변경, 최소권한 할당 등 중요한 보안요소들에 소홀 할 수 있습니다.  따라서, 클라우드 계정, 워크로드, 컨테이너 인프라에 대한 충분한 이해를 기반으론 환경설정 오류, 미흡한 보안정책 적용, 데이터 침해사고로 이어질 수 있는 간과하기 쉬운 요소들에 대해 점검하고 정정할 수 있는 능력을 키워야 합니다.

※ 원문: The Biggest Cloud Breaches of 2019 and How to Avoid them for 2020

IBM Security에 대해 더 자세히 알고 싶다면?

▶ 한국 IBM Security 공식 웹 페이지

▶ (페이스북 커뮤니티) 한국 IBM 보안 비즈니스 그룹

▶ 한국IBM 제품 사용자를 위한 “한국 사이버보안 유저 그룹”